ANALISIS DE ESCENARIOS DE TI EN LA GESTION DE RIESGOS

EMPRESARIALES

Alumna:Shirley Contreras Ulloa

Docente:Alberto Mendoza de los Santos

Asignatura:Auditoria de Sistemas

Ciclo: VIII

Acerca del Autor

- Consultor independiente de gobierno

de TI, riesgos y cumplimiento.

- Él fue vicepresidente y jefe de gobierno

de TI y gestión de riesgos para “Swiss Life

Group”.

- Involucrado en el desarrollo de COBIT

4.0 y 4.1, el está también ayudando con

el desarrollo de COBIT 5.0.

- En junio del 2010, el recibió el Juan

Lainhart IV, premio de ISACA.

Introducción

•Herramienta poderosa para los gerentes de riesgos.

•Ayudan a realizar las preguntas correctas .

•Preparan para lo inesperado.

Escenarios

•Pieza fundamental en el marco de riesgos de las TI.

•Hace a los riesgos mas concretos y tangibles.

•Enfoque fundamental para dar realismo, penetración, compromiso, análisis y estructura a los riesgos de TI.

Análisis de Escenarios

Flujo del Análisis de Escenarios

Un desafío para la gestión de riesgos es Identificar los riesgos relevantes sobre todo los

que puede generar error.

Aplicando el desarrollo y uso de escenarios de riesgo.

¿Cómo Solucionamos esto?

Flujo del Análisis de Escenarios

Escenarios de riesgo de TI específicos

y refinados

Objetivos de Negocio

Escenarios de Riesgos

Genéricos

ENFOQUE DE ARRIBA HACIA ABAJO

ENFOQUE DE ABAJO HACIA ARRIBA.

Identificar todos los escenarios hipotéticos. Reducir los riesgos a través de un alto análisis.

Identificar objetivos de negocio.Identificar escenarios con el mayor impacto en el éxito de objetivos.

Flujo del Análisis de Escenarios

• En esta etapa la frecuencia y el impacto del escenario son evaluados.

• Se tiene por componentes importantes a los factores de riesgos.

• A continuación explicación sobre los factores de riesgo.

Factores de Riesgo

Factores de Riesgo

Factores Ambientales

Externos

Factores Ambientales

Internos

Capacidad de Gestión de Riesgo

Capacidad de las TI

Capacidades de Negocio

relacionadas con TI

Componentes de Escenarios de Riesgos

• Un Escenario de TI es una descripción de un evento relacionado con las TI que puede conllevar a un impacto en el negocio, siempre y cuando ocurra.

• Los componentes de un escenario de riesgo son:

- Actores.

- Tipo de Amenaza.

- Eventos

- Recursos

- Tiempo

Componentes de Escenarios de Riesgos

Evento•Acceso•Interrupción•Modificación•Hurto•Destrucción•Diseño ineficaz•Ejecución ineficaz•Reglas y regulaciones•Uso Inapropiado

ESCENARIO DE RIESGO

Tipo de Amenaza•Maliciosa•Accidental/error•Fallas•Natural•Requerimiento Externo

Actor•Internos(contratista, personal)•Externo(competidor, intruso, socio de negocios)

Tiempo•Duración•Sincronización del Acontecimiento.•Sincronización a detectar

Activos / Recursos•Gente y organización•Proceso•Infraestructura•Infraestructura de TI•Información•Aplicaciones

Desarrollo del Escenario

Utilizar una lista de ejemplos acerca de escenarios genéricos de riesgo.

Realizar una validación contra los objetivos de negocio.

Refinar los escenarios seleccionados basados en la validación.

Categorizar los escenarios conforme al nivel de criticidad hacia la organización.

Desarrollo del Escenario

Reducir el numero de escenarios a un conjunto manejable.

Mantener todos los riesgos en una lista para luego ser utilizados si en un momento llegan a considerarse importantes.

Incluir un acontecimiento sin especificar para abordar casos que no han sido cubiertos por escenarios específicos.

Conclusiones

• Los escenarios tienen tres beneficios que los hacen muy poderosos para la comprensión de riesgos y oportunidades.

- Los escenarios amplían su pensamiento.

- Los escenarios descubren futuros inevitables o casi inevitables

- La protección de los escenarios contra los “group think-pensamientos de grupos”.